Jump to content

RDP - welches Protokoll


Direkt zur Lösung Gelöst von testperson,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

Ich versuche seit einiger Zeit das RDP-Protokoll bzw. die Umsetzung bei Microsoft etwas besser zu verstehen

 

Kann ich irgendwie, egal ob z.B. in einem Eventlog am RDP-Client/ RDP-Server oder im Netzwerktrace, auslesen, welches Protokoll (TLS 1.0, TLS 1.1 oder TLS 1.2) ggf. sogar welcher Cipher bei einer RDP-Verbindung verwendet wird? Ich habe SSL, TLS 1.0 und TLS1.1 in der Registry disabled, nur würde ich den Erfolg auch gerne monitoren.

Aus den Eventlogs bzw. mit Wireshark kann ich leider nichts rauslesen, da der Traffic über TPKT verschlüsselt ist.

Laut. der Microsoft RDP Specifikation [MS-RDPBCGR] gibt es die "Client Security Exchange PDU" mit dieser Information im Protokoll. Ich weiß leider nicht, wie ich da ran komme, da diese im TPKT-Protokoll verschlüsselt ist.

 

Mein Versuchsaufbau sind zwei virtuelle Win10 Maschinen + Wireshark. Letztlich muss ich aber irgendwie herausfinden, wenn RDP-Verbindungen zu weltweit verteilten Maschinen nicht auf dem geforderten Level verschlüsselt sind.

 

Danke für mögliche Ideen

Carnivore

 

 

Link zu diesem Kommentar
  • Beste Lösung

Hi,

 

auf Win7 / 2008 R2 System muss KB3080079 installiert sein. Des Weiteren solltest du dann SSL (http://gpsearch.azurewebsites.net/#2472) per GPO erzwingen (und RDP Sicherheit deaktivieren). Ggfs. noch mit IISCrypto alles ausser TLS1.1 und TLS1.2 deaktivieren.

 

Zur Überprüfung müsstest du dann das Schannel Logging erhöhen. Dazu unter "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL" einen DWORD "EventLogging" mit dem Wert "0x0007".

(https://support.microsoft.com/en-us/kb/260729)

 

Gruß

Jan

 

P.S.: Falls du dich wunderst, dass überall in der GUI zur Konfiguration nur TLS1.0 angezeigt wird: https://support.microsoft.com/en-us/kb/3097192

bearbeitet von testperson
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...